Como proteger o ambiente Office 365, utilizando chaves criptográficas gerenciadas pelo VaultCore
Os arquivos do cliente no SharePoint Online são protegidos por chaves exclusivas por arquivo que são sempre exclusivas para um único locatário. As chaves são criadas e gerenciadas pelo serviço do SharePoint Online, ou quando a chave do cliente é usada, criada e gerenciada por clientes.
O armazenamento do Azure não tem capacidade de decriptografar ou mesmo identificar ou compreender os dados do cliente. A criptografia e a decriptografia acontecem nos mesmos sistemas que impõem o isolamento do locatário, que são o Active Directory do Azure e o SharePoint Online.
Quando os clientes fornecem uma chave opcional, a chave do cliente é armazenada no Azure Key Vault, e o serviço usa a chave para criptografar uma chave de locatário, que é usada para criptografar uma chave de site, que é usada para criptografar as chaves de nível de arquivo.
Essencialmente, uma nova hierarquia de chaves é introduzida quando o cliente fornece uma chave
Referências: